A CDE (Cardholder Data Environment – kártyabirtokos-adatok környezete) a PCI DSS-megfelelőség hatókörének alapfogalma. Minden PCI DSS-audit első lépése a CDE pontos meghatározása – ez határozza meg, hogy mely rendszerek, hálózatok, személyek és folyamatok esnek a megfelelőségi kötelezettségek hatálya alá.
A CDE pontos definíciója
A PCI DSS szerint a CDE az összes olyan személy, folyamat és technológia összessége, amely kártyabirtokosi adatokat (CHD) vagy érzékeny hitelesítési adatokat (SAD) tárol, dolgoz fel vagy továbbít, valamint minden olyan rendszer, amely kapcsolódik a fentiekhez, vagy hatással lehet a biztonságukra. A CDE tartalmaz: minden rendszert, amely közvetlenül tárol/dolgoz fel/továbbít kártyaadatokat (PAN, CVV, lejárati dátum, PIN); minden hálózati komponenst (tűzfal, switch, router), amely a kártyaadatokat tartalmazó rendszerekkel kommunikál; minden biztonsági rendszert (SIEM, IDS/IPS), amely a CDE-t védi.
CDE bővítése: mikor kerülnek rendszerek a hatókörbe?
A hatókör-meghatározás egyik leggyakoribb hibája: olyan rendszerek is a CDE-be kerülnek, amelyek nem direkt érintkeznek kártyaadattal, de: azonos hálózati szegmensben vannak a kártyaadat-kezelő rendszerekkel; hozzáférnek a kártyaadat-kezelő rendszerek adminisztrációs felületéhez; biztonsági kontrollt (pl. tűzfal, hitelesítés) biztosítanak a CDE számára. Ezért a hálózati szegmentáció kulcsfontosságú: ha a kártyaadatokat kezelő rendszereket elkülönítik a többi rendszertől, a CDE hatóköre jelentősen szűkíthető.
Hogyan csökkenti a tokenizáció a CDE-t?
A tokenizáció a CDE-csökkentés leghatékonyabb eszköze: ha a kártyaadatokat a PCI Proxy EU vault-jában tárolják, a kereskedő saját rendszerében soha nem szerepel valódi PAN; a kereskedő rendszerei – adatbázis, backend alkalmazásszerverei, fejlesztési környezetek – kikerülnek a CDE-ből; csak a fizetési API-hívások indítópontjai és a hálózat maradhatnak a hatókörben (de ezek is minimalizálhatók megfelelő szegmentálással). A PCI Proxy EU tokenizáció után a kereskedő hatóköre tipikusan SAQ A vagy SAQ A-EP szintre csökkenthető.
Minimalizálja CDE-jét tokenizációval
Szakértőink segítenek felmérni a jelenlegi CDE-t és megtervezni a tokenizációra alapuló hatókör-csökkentési stratégiát.
Konzultáljon szakértőnkkel